tailscale mobiler Zugriff

[nkler]

Hallo,

ich habe aktuell meine VPN-Verbindung auf tailscale umgestellt, hierbei gibt es noch ein Problem. Vielleicht weiß jemand von euch etwas dazu.

Es gibt siteA, mein Hauptnetzwerk und siteB mein Zweinetzwerk. Der Zugriff mittels gegebener Konfiguration läuft ohne Probleme. SiteA und B können also munter Daten austauschen.
Beim Versuch sich von Extern, mittels Laptop in das siteA Netzwerk einzuwählen, ist hingegen kein Zugriff möglich.

Weiß jemand woran das liegen könnte, bzw. was muss ich umstellen, damit es läuft?

DNS

NAmeserver --> Split DNS (meineDomain.de) --> 10.0.1.104
Search Domains --> meineDomain.de

Maschines

s2s-siteA --> tag:siteA
s2s-siteB --> tag:siteB
laptop --> tag:mobile

Access Control

{
    "tagOwners": {
        "tag:siteA":  [],
        "tag:siteB":  [],
        "tag:mobile": [],
    },
    "hosts": {
        "siteA-network": "10.0.0.0/22",
        "siteB-network": "192.168.0.0/22",
    },
    "acls": [
        {
            "action": "accept",
            "src":    ["siteA-network"],
            "dst":    ["siteB-network:*"],
        },
        {
            "action": "accept",
            "src":    ["siteB-network"],
            "dst":    ["siteA-network:*"],
        },
        {
            "action": "accept",
            "src":    ["tag:mobile"],
            "dst":    ["siteA-network:*"],
        },
    ],
}

 

[riversource]

Ich weiß nicht, ob es das alleinige Problem ist, aber du brauchst mindestens noch eine Accept Regel für siteA->mobile. Sonst fließt da nichts zurück.

 

[nkler]

Eine Accept Regel für siteA->mobile sollte eigentlich nicht notwendig sein. Mobile baut eine Verbindung auf und diese wird genutzt, um die Daten zurückzuschicken. Das ist zu Hause im Netzwerk auch so, ich bohre doch kein Loch (von außen) in die Firewall um Daten aus dem Internet zu mir fließen zu lassen.
Die tailscale Doku sieht das doch auch nicht vor. https://tailscale.com/kb/1192/acl-samples#resource-level-access-policies

 

[riversource]

Wenn das tatsächlich der Fall ist, dann ist die Nomenklatur bei tailscale aber sehr verwirrend. Warum markieren sie "Source" und "Destination" in einer ACL sehr deutlich, wenn dann auch Datenverkehr von "Destination" zu "Source" möglich ist? Die Beschreibung ist da auch sehr nebulös: The Source can Access the Destionation. Ok. Aber geht es auch umgekehrt? Das ist ja erforderlich, damit die Daten zurückfließen müssen.

Das ist zu Hause im Netzwerk auch so, ich bohre doch kein Loch (von außen) in die Firewall um Daten aus dem Internet zu mir fließen zu lassen.

Falsch. Nur ist es meistens so, dass die üblichen Heim-Firewalls den Datenverkehr in ausgehende Richtung nicht blockieren. Ansonsten müsstest du auch dafür explizit sorgen.

Wenn du allerdings der Meinung bist, dass das so hinreichend ist, musst du dir das Routing im Detail ansehen. Also: Quell-Adressen, Ziel-Adressen, die Adressen am lokalen Aufenthaltsort von "mobile" und die Routen dazwischen. Wie weit kommen die Pakete von der Quelle bis zum Ziel und zurück? Prüfe das z.B. mit traceroute.